<div dir="ltr">Hello,<div><br></div><div>I'm actually trying to scan https web pages for viruses.</div><div>I have a working squid 3.5.21 configured for https intercept with ssl bump peek splice (basic) like following :</div><div><br></div><div>[...]</div><div>ssl_bump peek all</div><div>ssl_bump splice all<br clear="all"><div>[...]</div><div><div>icap_enable on<br></div><div>adaptation_send_client_ip on</div><div>adaptation_send_username on</div><div>icap_client_username_header X-Authenticated-User</div><div>icap_preview_enable on</div><div>icap_preview_size 1024</div><div>icap_service service_req reqmod_precache bypass=1 icap://<a href="http://127.0.0.1:1344/squidclamav">127.0.0.1:1344/squidclamav</a><br></div><div>adaptation_access service_req allow all</div><div>icap_service service_resp respmod_precache bypass=1 icap://<a href="http://127.0.0.1:1344/squidclamav">127.0.0.1:1344/squidclamav</a></div><div>adaptation_access service_resp allow all</div></div><div>[...]</div><div><br></div><div>I have c-icap, clamd, installed and running correctly.</div><div>My problem is the following:</div><div>I've an external web server, accessible in both HTTP or HTTPS, in one of its websites, I've put a <a href="http://eicar.com">eicar.com</a> file. When I access it via HTTP, the <a href="http://eicar.com">eicar.com</a> file is correctly blocked, but when I do it over HTTPS, the file is not blocked ... And I don't see why ...</div><div>Does peek / splice don't allow icap scanning/filtering ?</div><div><br></div><div>Thanks for the help.</div><div><br></div><div>Cheers,</div><div><br></div><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div>do Vale Victor<br>Ingénieur Systèmes, Réseaux et Sécurité<br></div><div><br></div><div><br></div></div></div>
</div></div>